Source
Hijetter
The running .exe file ... [667KB]: Hijetter.exe.zip
The full sources for VC++ including all immages ... [3.080KB]: Hijetter_res.zip
libPJL and PFT
In case you live on UNIX or you want the command line tool anyway or you want to use the library for PJL communication, here it is (compiles on UNIX and Windows):
libPJL-1.3-src.tgz (current)
libPJL-1.2-src.tgz (depricated)
ChaiServices
The ChaiCrack service to crack UNIX crypt() passwords on printers: ChaiCrack.tgz
The ChaiPortScan multi-thread port scanning engine for printers. It sucks, because with the f**ked up firmware, you don't really get good results (if at all). In case you are curious anyway: ChaiPortScan.tgz
A copy of Chai server can be found at
http://www.hyper-linux.org/HP-HOWTO/mirror/Software/cs40-os-release.zip
=================
Phenoelit: Webserver oft per Bruteforce knackbar
Die Serverlogs werden recht schnell recht groß, und nicht jeder Server sei verwundbar, hinzu kommt, dass man Ports und Loginname erraten muss: aber viele Webserver hätten keine automatische Loginsperre nach mehreren missglückten Anmeldungen und macht sie zum Ziel von Brute Force-Attacken. Die man mit Phenoelits ObiWan fahren kann.
Wegen der fehlenden Sperren nach missglückten Logins kann laut Phenoelit jeder User mit HTTP-Zugriff Kombinationen von Usernames und Passwörtern ausprobieren, wie es ihm beliebt. ObiWan verwendet, wie auch bei anderen Tools dieser Art üblich, Wortlisten. Durch die unbegrenzte Möglichkeit, Logins zu versuchen, sei es eine Frage von Zeit und Bandbreite, um Webserver zu knacken.
"Interessanteste" Ziele seien webbasierte Frontends wie Netscapes Server Administration. Als Beispiel zur Anwendung von ObiWan wird aber auch der Apache aufgeführt.
Ermittelt werden muss vor dem Angriff der Port des Frontends sowie der Benutzername. Je nach Serversoftware ist dieser jedoch häufig zu ermitteln. Anschließend sorgen verfügbare Bandbreite und Serverlogs für Probleme: eine Bruteforce-Attacke kann die Leitung schnell dichtmachen und dazu führen, dass der Angriff bemerkt wird. Ebenso ist je nach Größe der Logrotation auf dem Zielserver der Angriff anhand wachsender Adminlogs zu bemerken.
ObiWan symbolisiert nebenbei nicht in erster Linie den Star Wars-Charakter: Ausgeschrieben nennt sich die Software "Operation burning insecure Webserver against Netscape".
quelle: gulli untergrund news
=================Wegen der fehlenden Sperren nach missglückten Logins kann laut Phenoelit jeder User mit HTTP-Zugriff Kombinationen von Usernames und Passwörtern ausprobieren, wie es ihm beliebt. ObiWan verwendet, wie auch bei anderen Tools dieser Art üblich, Wortlisten. Durch die unbegrenzte Möglichkeit, Logins zu versuchen, sei es eine Frage von Zeit und Bandbreite, um Webserver zu knacken.
"Interessanteste" Ziele seien webbasierte Frontends wie Netscapes Server Administration. Als Beispiel zur Anwendung von ObiWan wird aber auch der Apache aufgeführt.
Ermittelt werden muss vor dem Angriff der Port des Frontends sowie der Benutzername. Je nach Serversoftware ist dieser jedoch häufig zu ermitteln. Anschließend sorgen verfügbare Bandbreite und Serverlogs für Probleme: eine Bruteforce-Attacke kann die Leitung schnell dichtmachen und dazu führen, dass der Angriff bemerkt wird. Ebenso ist je nach Größe der Logrotation auf dem Zielserver der Angriff anhand wachsender Adminlogs zu bemerken.
ObiWan symbolisiert nebenbei nicht in erster Linie den Star Wars-Charakter: Ausgeschrieben nennt sich die Software "Operation burning insecure Webserver against Netscape".
quelle: gulli untergrund news
VNC Security
LibreOffice
Firefox
No comments:
Post a Comment